implementing-google-workspace-sso-configuration
为 Google Workspace 配置基于 SAML 2.0 的单点登录(SSO),与第三方身份提供商集成,实现集中认证并强制执行全组织范围的访问策略。
Best use case
implementing-google-workspace-sso-configuration is best used when you need a repeatable AI agent workflow instead of a one-off prompt.
为 Google Workspace 配置基于 SAML 2.0 的单点登录(SSO),与第三方身份提供商集成,实现集中认证并强制执行全组织范围的访问策略。
Teams using implementing-google-workspace-sso-configuration should expect a more consistent output, faster repeated execution, less prompt rewriting.
When to use this skill
- You want a reusable workflow that can be run more than once with consistent structure.
When not to use this skill
- You only need a quick one-off answer and do not need a reusable workflow.
- You cannot install or maintain the underlying files, dependencies, or repository context.
Installation
Claude Code / Cursor / Codex
Manual Installation
- Download SKILL.md from GitHub
- Place it in
.claude/skills/implementing-google-workspace-sso-configuration/SKILL.mdinside your project - Restart your AI agent — it will auto-discover the skill
How implementing-google-workspace-sso-configuration Compares
| Feature / Agent | implementing-google-workspace-sso-configuration | Standard Approach |
|---|---|---|
| Platform Support | Not specified | Limited / Varies |
| Context Awareness | High | Baseline |
| Installation Complexity | Unknown | N/A |
Frequently Asked Questions
What does this skill do?
为 Google Workspace 配置基于 SAML 2.0 的单点登录(SSO),与第三方身份提供商集成,实现集中认证并强制执行全组织范围的访问策略。
Where can I find the source code?
You can find the source code on GitHub using the link provided at the top of the page.
SKILL.md Source
# 实施 Google Workspace SSO 配置
## 概述
Google Workspace 的单点登录(SSO)允许组织通过其现有的身份提供商(IdP,如 Okta、Azure AD(Microsoft Entra ID)或 ADFS)对用户进行认证,而无需管理单独的 Google 密码。这通过 SAML 2.0 协议实现,其中 Google Workspace 充当服务提供商(SP),组织的 IdP 处理认证。SSO 集中了凭据管理,在 IdP 处强制执行 MFA 策略,并可在用户离开组织时立即撤销访问权限。
## 前置条件
- Google Workspace Business、Enterprise 或 Education 版本
- 对 Google 管理控制台的超级管理员访问权限
- 支持 SAML 2.0 的身份提供商(Okta、Azure AD、ADFS、Ping Identity)
- IdP 签名证书(X.509 PEM 格式,RSA 或 DSA)
- Google Workspace 域的 DNS 验证
## 核心概念
### SAML 2.0 SSO 流程
```
用户导航到 Google Workspace 应用(Gmail、Drive 等)
│
├── Google 检查:此域是否配置了 SSO?
│
├── 是 → 将用户重定向到 IdP 登录页面 URL
│ (通过浏览器重定向发送 SAML AuthnRequest)
│
├── 用户在 IdP 处认证(凭据 + MFA)
│
├── IdP 生成带有签名断言的 SAML 响应
│
├── 浏览器将 SAML 响应 POST 到 Google ACS URL:
│ https://www.google.com/a/{domain}/acs
│
├── Google 根据上传的证书验证 SAML 签名
│
└── 用户获得 Google Workspace 访问权限
```
### 关键 SAML 参数
| 参数 | 值 |
|-----------|-------|
| ACS URL | `https://www.google.com/a/{your-domain}/acs` |
| Entity ID | `google.com/a/{your-domain}` 或 `google.com` |
| NameID 格式 | `urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress` |
| NameID 值 | 用户的主要 Google Workspace 邮箱 |
| 绑定方式 | HTTP-POST(用于 ACS),HTTP-Redirect(用于 SSO URL) |
## 实施步骤
### 步骤 1:准备身份提供商
**对于 Okta:**
1. 导航到应用程序 > 添加应用程序 > 搜索"Google Workspace"
2. 配置 Google Workspace 应用与您的域
3. 为应用程序分配用户/组
4. 下载 IdP 元数据或记录:SSO URL、Entity ID、证书
**对于 Azure AD(Microsoft Entra ID):**
1. 导航到企业应用程序 > 新建应用程序 > Google Cloud/Workspace
2. 配置单点登录 > SAML
3. 设置基本 SAML 配置:
- 标识符(Entity ID):`google.com`
- 回复 URL(ACS):`https://www.google.com/a/{your-domain}/acs`
- 登录 URL:`https://www.google.com/a/{your-domain}/ServiceLogin`
4. 下载联合元数据 XML 或证书(Base64)
**对于 ADFS:**
1. 使用联合元数据添加信赖方信任
2. 配置声明规则以将 NameID 作为电子邮件地址传递
3. 导出令牌签名证书
### 步骤 2:配置 Google Workspace SSO
1. 以超级管理员身份登录 Google 管理控制台(admin.google.com)
2. 导航到安全 > 认证 > 使用第三方 IdP 的 SSO
3. 点击"添加 SSO 配置文件"或配置默认配置文件
**第三方 SSO 配置文件设置:**
| 设置 | 值 |
|---------|-------|
| 使用第三方 IdP 设置 SSO | 已启用 |
| 登录页面 URL | IdP 的 SAML SSO 端点(如 `https://idp.example.com/sso/saml`) |
| 注销页面 URL | IdP 的注销 URL(如 `https://idp.example.com/slo`) |
| 更改密码 URL | IdP 的密码更改 URL |
| 验证证书 | 上传 IdP 的 X.509 签名证书 |
| 使用域特定颁发者 | 已启用(使用 `google.com/a/{domain}` 作为 Entity ID) |
### 步骤 3:将 SSO 配置文件分配给用户
SSO 配置文件可在不同范围应用:
```
组织范围(所有用户)
│
├── 组织单元级别(特定部门)
│ ├── 工程 OU → 通过 Okta 的 SSO
│ ├── 市场 OU → 通过 Azure AD 的 SSO
│ └── 承包商 OU → 通过特定 IdP 的 SSO
│
└── 组级别(特定安全组)
└── VPN 用户 → 带附加 MFA 的 SSO
```
1. 导航到安全 > 认证 > 使用第三方 IdP 的 SSO
2. 选择要分配的 SSO 配置文件
3. 选择组织单元或组
4. 保存并等待传播(最多 24 小时,通常几分钟)
### 步骤 4:配置网络掩码(可选)
网络掩码根据用户的 IP 控制何时强制执行 SSO:
- 如果用户的 IP 与网络掩码匹配,则使用 Google 登录页面
- 如果用户的 IP 不匹配,则重定向到 IdP
这对于允许从企业网络直接登录 Google,同时对外部访问强制执行 SSO 非常有用。
### 步骤 5:测试 SSO
1. 打开无痕浏览器窗口
2. 导航到 `https://mail.google.com/a/{your-domain}`
3. 验证重定向到 IdP 登录页面
4. 在 IdP 处认证
5. 验证成功重定向回 Google Workspace
6. 测试注销流程重定向到 IdP 注销页面
7. 测试未在 IdP 中分配的用户(应失败)
## 验证清单
- [ ] IdP SAML 应用程序已配置正确的 ACS URL 和 Entity ID
- [ ] IdP 签名证书已上传到 Google 管理控制台
- [ ] SSO 配置文件已分配给目标组织单元/组
- [ ] SAML 断言包含正确的 NameID(邮箱格式)
- [ ] IdP 为所有 Google Workspace 用户强制执行 MFA
- [ ] 注销 URL 已配置为终止 IdP 会话
- [ ] 如果内外部访问不同,已配置网络掩码
- [ ] 紧急访问超级管理员账户绕过 SSO(使用 Google 认证)
- [ ] 已使用多种用户类型(管理员、标准用户、承包商)测试 SSO
- [ ] SAML 响应签名验证成功
- [ ] 已测试错误处理(证书过期、无效用户、时钟偏差)
## 参考资料
- [Google Workspace SSO 配置指南](https://support.google.com/a/answer/12032922)
- [设置自定义 SAML 应用 - Google](https://support.google.com/a/answer/6087519)
- [Okta Google Workspace SAML 指南](https://saml-doc.okta.com/SAML_Docs/How-to-Enable-SAML-2.0-in-Google-Apps.html)
- [SAML 2.0 技术概述 - OASIS](https://docs.oasis-open.org/security/saml/Post2.0/sstc-saml-tech-overview-2.0.html)Related Skills
testing-cors-misconfiguration
在安全评估期间,识别和利用跨源资源共享(CORS)错误配置,这些配置允许未经授权的跨域数据访问和凭证窃取。
remediating-s3-bucket-misconfiguration
本技能提供识别和修复 Amazon S3 存储桶错误配置(这些错误配置会将敏感数据暴露给未授权访问)的分步操作流程。涵盖在账户和存储桶级别启用 S3 阻止公开访问(Block Public Access)、审计存储桶策略和 ACL、强制加密、配置访问日志记录,以及使用 AWS Config 和 Lambda 部署自动化修复措施。
performing-ssl-tls-inspection-configuration
在网络安全设备上配置 SSL/TLS 检查,对 HTTPS 流量进行解密、检查和重加密以用于威胁检测,同时管理证书、豁免项和隐私合规要求。
implementing-zero-trust-with-hashicorp-boundary
使用 HashiCorp Boundary 实现具备动态凭据代理、会话录制和 Vault 集成的身份感知零信任基础设施访问管理。
implementing-zero-trust-with-beyondcorp
使用身份感知代理(IAP,Identity-Aware Proxy)、上下文感知访问策略、设备信任验证和 Access Context Manager,部署 Google BeyondCorp Enterprise 零信任访问控制,对 GCP 资源和内部应用强制执行基于身份和安全态势的访问。
implementing-zero-trust-network-access
通过配置身份感知代理、微分段、基于条件访问策略的持续验证,以及在 AWS、Azure 和 GCP 环境中以 BeyondCorp 风格的架构替代传统 VPN 访问,在云环境中实施零信任网络访问(ZTNA)。
implementing-zero-trust-network-access-with-zscaler
使用 Zscaler 实施零信任网络访问(Zero Trust Network Access,ZTNA),通过 Zscaler Private Access(ZPA)配置应用分段、访问策略和连接器,替代传统 VPN 架构
implementing-zero-trust-in-cloud
本技能指导组织按照 NIST SP 800-207 和 Google BeyondCorp 原则在云环境中实施零信任(Zero Trust)架构,涵盖以身份为中心的访问控制、微分段(Micro-Segmentation)、持续验证、设备信任评估,以及部署身份感知代理(Identity-Aware Proxy)以消除 AWS、Azure 和 GCP 环境中的隐式网络信任。
implementing-zero-trust-for-saas-applications
使用 CASB、SSPM、条件访问策略、OAuth 应用治理和会话控制,为 SaaS 应用实施零信任访问控制, 对云托管服务强制执行身份验证、设备合规性检查和数据保护。
implementing-zero-trust-dns-with-nextdns
将 NextDNS 实施为零信任 DNS 过滤层,提供加密解析、威胁情报阻断、隐私保护,以及跨所有端点的组织策略执行。
implementing-zero-standing-privilege-with-cyberark
部署 CyberArk Secure Cloud Access,通过基于时间、权限和审批控制的即时访问,在混合云和多云环境中消除常设权限。
implementing-zero-knowledge-proof-for-authentication
零知识证明(ZKP)允许证明者在不泄露秘密本身的情况下证明对某个秘密(如密码或私钥)的了解。本技能实现 Schnorr 身份识别协议和使用离散对数问题的简化 ZKPP,使服务器永远不需要获取用户密码即可完成认证。